左曉棟：在網絡安全專業問題上滿嘴跑火車的美國官員太多了

2019-06-24

據美媒報道，儘管6月20日特朗普叫停了對伊朗的軍事打擊，但他同意了對伊朗的網絡攻擊。網絡攻擊的目標包括伊朗情報部門和導彈發射系統。這不禁讓人想起2010年的震網事件，彼時美國曾利用“震網”蠕蟲病毒攻擊伊朗的鈾濃縮設備，造成伊朗核電站推遲發電，伊朗國內則有近500萬網民、及多個行業的領軍企業遭此病毒攻擊。

網絡攻擊一直是美國的慣用手段，眼下中美貿易戰仍在持續，美國不僅挑起關税大戰，甚至還試圖四處點火，延燒至科技、網絡等領域。在如此氛圍下，中國網絡安全態勢如何，如何維護國家網絡安全？全球框架下，各國就互聯網發展管理的合作將走向何處？

觀察者網就此採訪了中國信息安全研究院副院長、國家網絡安全應急專家組成員、外交部網絡外交專家諮詢委員會委員、國家網絡空間安全重點研發計劃責任專家左曉棟。以下為採訪全文：

【採訪/觀察者網朱敏潔】

**觀察者網：**最近國家發佈《2018年我國互聯網網絡安全態勢》的報告，有數據顯示中國遭受的網絡攻擊主要來自美國，您作為網絡安全領域的專家，長期以來在這方面有何觀察體會？另外，美國也曾稱自己遭受的網絡攻擊中來自中國的最多，您如何看待雙方在輿論場上的攻防？

**左曉棟：**國家計算機網絡應急技術處理協調中心每年都會發布年度互聯網網絡安全態勢報告，歷年數據均顯示，美國是中國受到的網絡攻擊的主要來源國，且呈愈演愈烈之勢。這個結論有翔實的數據支持，且與斯諾登曾爆料的美國“稜鏡計劃”等情況一致。美國的確反覆強調其自身“受害者”角色，稱其主要受到來自中國的網絡攻擊。這更多是一種輿論造勢，此類“賊喊捉賊”的伎倆在美國發動的幾次地區衝突中屢見不鮮。

從原理上講，這個問題有其複雜性，單純糾纏於數字沒有意義。其中既涉及到攻擊認定標準、規則（美國國防部曾把來自中國的每一次網頁訪問認定為一次“攻擊”），也涉及到攻擊溯源等技術難題，所以有人曾提議由聯合國成立網絡攻擊調查權威機構。

但有一個基本事實不容迴避，有相當多的網絡攻擊是利用技術優勢，特別是利用提供產品和服務的便利條件而實施的。目前我們對美國的產品、服務仍高度依賴，核心技術依然控制在美國人手中，誰更有條件和能力發起攻擊一目瞭然。美國極力打壓中國的高科技企業，本質上是因為中國企業在5G上的領先優勢將削弱美國的監聽能力。用户都用你的產品，不用他的產品了，他還怎麼監聽？

**觀察者網：**目前，網絡攻擊形態多樣，最棘手的是什麼？中美貿易戰之下，中國網絡安全面臨着什麼新挑戰？中國在應對各種形態的網絡攻擊方面有何措施？

**左曉棟：**網絡攻擊主體多元，目的各異，手段多樣，勒索軟件、拒絕服務、APT（高級持續攻擊）等都給我們帶來了很大威脅，很難説哪種攻擊更“棘手”。從後果角度而言，值得高度重視的是關鍵信息基礎設施受到的攻擊，即對能源、通信、交通、金融等重點行業的網絡與信息系統的攻擊，以及對國家秘密、重要數據和個人信息的竊取。

任何一種攻擊，我們只要能發現就還不是最壞的情況。最大的風險是，敵人已然得手而我們還毫無察覺，“誰進來了不知道、是敵是友不知道、幹了什麼不知道”。習近平總書記指出，“感知網絡安全態勢是最基本最基礎的工作”，這是近幾年我國大力推進網絡安全態勢感知系統建設的原因。

中美貿易戰帶給了我們更多關於網絡安全的思考。例如，美國一些組織和官員常以世貿規則質疑我們的網絡安全政策，認為美國產品在中國重點行業的應用受到了限制，中美在這個問題上多年來持續磋商，我們的一些政策也因此做過調整，但今後的談判“畫風”可能就會不一樣了。

還例如，國內圍繞美國是否會對我們“斷網”有過激烈爭論，有人認為在全球化時代這種極端情況根本不會出現，但“斷供”已經對此給出了答案。堅持底線思維，增強憂患意識，這應當成為今後我國網絡安全工作的一項指導思想，也必然會對後續國家網絡安全政策制定帶來重大影響。

**觀察者網：**近日，蓬佩奧又對中國網絡安全指手畫腳，聲稱“只要使用華為通訊技術，隱私和數據保護無法得到保證”，美國一直抹黑華為安插軟硬件後門，以信息安全為由慫恿盟友抵制華為，又對企業的商業行為進行約束等等。您作為網絡安全業內人士，能否對公眾解釋一下所謂的安插軟硬件後門究竟是怎麼回事？您對美國的這套説辭有何評價？

左曉棟：“後門”是指系統中預先設置的，可用來繞過安全機制而獲取對系統訪問權的方法。“後門”不是某種單獨存在的物體，例如軟件後門，其無非也是源代碼中的一部分，和正常的代碼只有功能上的區別。通俗地説，某人想拿到一份重要文件，需要經過門衞、門鎖、紅外探測等安保措施，但如果這個房間有個後門，那他直接進去拿文件就可以了。理論上，廠商都有條件在設計產品時設置後門。但如果因此就懷疑廠商，這就和懷疑所有拿得動菜刀的成年人都是殺人犯一個道理，顯然是十分荒謬的。

我記得，我國政府某部門印發了一份信息化工作文件後，外媒立刻炒作“中國政府要求企業留後門，要對銀行進行侵入式檢查”，甚至奧巴馬的網絡安全助理丹尼爾當時也為此發言批評中國。我隨中方專家團訪美時，中方代表曾當面問丹尼爾：“中方文件中哪一段文字有這層含義？據我們所知，你不是IT專業出身，你如何得出‘侵入式檢查’這個結論？”丹尼爾當下無法回應。以我的親身經歷看，在網絡安全專業問題上滿嘴跑火車的美國官員太多了，真相對他們不重要，要臉只能擁有一張臉，不要臉才可以擁有全世界。

**觀察者網：**中美雙方也曾針對軟硬件後門問題互有指責。從國家網絡安全角度來講，如果要進行篩查，成本十分高，現在類似工作的開展情況如何？我們現在強調軟硬件設計、製造全流程自主可控，但這也會帶來問題，比如短期內怎麼辦，怎麼做到成本可控？而且網絡本身具有國際化屬性，在自主可控和全球供應鏈之間肯定存在矛盾，對此您有什麼看法？

**左曉棟：**發現後門確實很難，特別是對操作系統等大型軟件，通讀一遍人家的源碼甚至都已經成為難以完成的任務，更不要説在上千萬行代碼中發現幾行特殊功能的代碼，況且人家還不一定能給你源碼。

廣義而言，這屬於供應鏈安全問題，各國政府都面臨巨大挑戰。為了回應外國政府的疑慮，華為公司採取的策略是增強透明性。例如，在英國成立專門機構，源碼交給英國政府審查。華為某外籍高管最近稱，華為是世界上接受審查最多的公司，這個結論可以成立。大家都知道美國國會曾經審查華為、中興，實際上這是華為、中興主動要求的。但美國國會無意關注中國公司的技術安全性，而是從企業有黨委、創始人曾經是軍人等角度評估認為中國企業不安全，這是“欲加之罪何患無辭”。

拋開這種“冷戰”思維，保障供應鏈安全有很多國際通行的措施。例如，對開發環境提出要求；防範產品在運輸、安裝過程中被篡改；儘可能選擇商業現貨產品；通過第三方採購，避免廠商知悉最終客户。這種一系列綜合性的舉措，最終目的是最大化地降低後門攻擊風險。尤其是在涉及國家安全領域，很多國家都已經建立網絡安全審查制度，採取更嚴格的措施。

2017年6月1日，我國試行了《網絡產品和服務安全審查辦法》，最近根據形勢需要對該辦法作了修改，正在公開徵求意見。文件提出，要考慮產品和服務的可控性、透明性以及供應鏈安全，包括因為政治、外交、貿易等非技術因素導致產品和服務供應中斷的可能性，還要考慮產品和服務提供者受外國政府資助、控制等情況。

現在社會上有一種認識，認為在已然發生斷供的情況下，我們必須實現全面自主可控，不能指望同國外合作。但“自主”不能是閉門造車，而是必須堅持開放創新，不能搞義和團式的盲目排外，我們的不可靠實體清單制度、國家技術安全管理清單制度都不是為了排斥國外。維護國家網絡安全必須具有具備全球視野和開放心態，我們要緊緊抓住和把握新興技術革命帶來的歷史性機遇，這一點絲毫不能動搖。特別是在當前局勢下，我們更要發出支持多邊貿易體制、反對貿易保護主義的聲音，並進一步提高開放合作質量、深化合作內涵，利用美國“退羣”的契機引領世貿規則的重構。

**觀察者網：**您曾在採訪中舉過一個例子，在世界互聯網大會現場，有些外賓竟然不敢使用主辦方發的小米手機，這些年來類似情況有所轉變嗎？現在美國用同樣的理由打擊華為5G時，您熟悉的外國朋友中對此看法如何？

**左曉棟：**我不認為這種情況有了本質改變。我看到一些號稱“中國通”的外國人，他們來中國拿個玻璃杯喝水都怕什麼地方安裝了竊聽器。這是“以己度人”還是真的無知？兩種因素可能都有，更不要説普通外國人了。對中國的偏見不僅僅存在於網絡安全領域，政治、經濟、軍事、文化等領域莫不如此。這不是靠我們解釋就能夠澄清的，因為我們不可能叫醒裝睡的人。

在中美貿易戰中，一些美國人頻繁玩弄“雙重標準”。我常常想，他們知道那是雙重標準嗎？他們當然知道，但他們認為，對待中國就是應當採用雙重標準，那是天經地義的。回望歷史，我們度過了捱打的時代，也度過了捱餓的時代，我們最終都是通過發展解決了問題。現在處於捱罵的時代，發展依然是破局的唯一方法。

現在全世界都在討論華為的安全性，這不是壞事，因為在這種態勢下，西方國家依然沒有能夠拿出華為不安全的證據。雖然還不能下結論説西方普通公眾已經消除了對華為安全性的擔心，這需要一個過程，但總體趨勢對華為有利。美國對華為的打壓顯然是一種政治行為，早已超出技術範疇，西方普通公眾對這一點已經看得很明白，很多人驚訝於美國政府的無底線操作，特朗普“成功”吸引了普通公眾的注意力。得道者多助，失道者寡助，歷史會作出選擇。

**觀察者網：**關於網絡安全定義，西方國家認為信息技術及互聯網發展對國家政治和社會心理產生影響不屬於網絡安全，但中國認為是，所以雙方無法商談相關問題。目前，西方時有發生恐怖組織等通過社交媒體煽動或製造恐慌，或是假新聞試圖影響選舉，西方輿論也開始要求社交媒體進行干涉，您對這種趨勢有何看法？西方現在對網絡主權的觀點如何？

**左曉棟：**當年聯合國成立信息安全政府專家組、討論共識文件時，各方首先在兩個基礎性問題上產生了嚴重分歧。一個是關於網絡安全的定義，西方國家反對把互聯網信息內容安全列進去，只願意討論信息技術的安全。問題的實質是，一些國家要通過互聯網推行“顏色革命”、干涉他國內政，他們不允許主權國家對互聯網進行管理，要求各國政府保證互聯網上的信息完全自由地在流動。

另一個是關於網絡安全威脅的類型，如黑客、病毒等。這看起來根本不是個什麼大問題，但居然也一度“卡殼”。因為美國堅持要把“代理人”列為一種單獨的網絡安全威脅。這是在含沙射影，目的是把網上的黑客、犯罪組織等同中國政府關聯起來，指責他們是中國政府指使或假扮的，是中國政府的“代理人”，以迫使中國政府為此擔責。事實證明，商業竊密正是本次中美貿易戰的核心議題之一，美國為了製造這一議題早已處心積慮。

近年來，有兩件事情令西方國家自我“打臉”。一是恐怖主義威脅加劇，互聯網成為宣傳暴恐思想、組織暴恐行動的平台，西方國家不堪其擾；二是一些西方國家認為其選舉結果受到了網上虛假新聞的影響，甚至指責別國通過互聯網干涉其選舉。這時候他們坐不住了，紛紛採取措施，例如美國迅速通過了《反外國宣傳法》。當然，這不意味着西方國家對互聯網治理的基本立場發生了根本改變，他們本來就擅長玩弄雙重標準。但迫於形勢，西方國家已經不再簡單地否認網絡空間主權，只是對“網絡主權”有不同解釋。

在這場關於互聯網治理模式的博弈中，很多發展中國家逐步認清了美國等西方國家試圖構建“網絡霸權”的真實目的，越來越認同中國的網絡主權主張，認為中國特色治網之道體現了中國智慧，為構建網絡空間命運共同體貢獻了中國方案。

**觀察者網：**您曾提到中美就網絡安全基本問題仍存在分歧，比如美方認為商業竊密是非法網絡攻擊，但軍事行動和間諜情報是合法網絡攻擊，後者是維護國家安全為目的。這次中方報告中也指出，網絡攻擊包括對工業控制系統的攻擊，如中東某石油天然氣工廠因遭惡意軟件利用設備漏洞攻擊而停運。您對這一分歧有何具體看法？截至目前，中美在該問題上是否有所進展？

**左曉棟：**中美貿易戰開打以來，美方一直糾纏於商業竊密問題。一些人可能會有疑問，不搞商業竊密難道不是應該的嗎？但問題不是這麼簡單。我們要分析兩個背景。一是，美國在全世界實施監聽，大肆發展網絡部隊、激化網絡空間軍備競賽，嚴重威脅全人類和平與安全。二是，美國多年來持續指責中方對美進行商業竊密，污衊中國的經濟發展成就得益於對美知識產權的竊取。

他為什麼“賊喊捉賊”呢？我們知道，網絡空間是人類生活的新空間，這個新空間的規則目前還很不健全。這就如同大馬路有了，現在需要把人車右行的交通規則確定下來。這個話語權顯然很重要，美國於是急不可耐地給全世界提了一條“交通規則”：網絡攻擊分為兩種，一種是出於國家安全、軍事、反恐、情報目的的攻擊，一種是商業竊密。前者是合法的，因為現實社會中各國都要有軍隊、都要搞情報，那麼網上也可以幹，誰也不能攔着；後者則是非法的，因為現實中也不能幹。

這個主張換句話理解就是：美國憑藉技術優勢，以後在網絡空間可以為所欲為，因為他都可以解釋為國家安全目的，都是合法的，別人則幹什麼都是非法的。這類案例已經有了。媒體曾經爆出，美國國家安全局多年以來一直入侵華為公司。這種動用國家力量攻擊一家中國商業公司的行為，居然也被美國編了個國家安全理由：尋找華為公司與中國軍方機構有關聯的證據，以評估華為公司對美國國家安全的威脅。

美國實際上想達到三個目的：一是你要承認你搞商業竊密了，美國蒙受了損失，這是中美經濟的一種“結構性矛盾”；二是你要承諾你以後不能搞商業竊密；三是美國的網絡攻擊都是出於國家安全目的，因而都是合法的，你不能跟我談這個問題，更不能約束我。

中方的網絡安全報告披露了某些重點行業生產系統被入侵的情況。對這類攻擊，美國人認為他可以搞，因為他是為了國家安全，例如要阻止中東某國的核計劃。而當我們在保護自己的這類重要系統時，美國人説了，你只能照搬國際標準，不能制定自己的政策。理由是，你的政策會影響他的產品在中國重要系統中的銷售，違反了WTO規則，因為這是商用領域。

中美貿易戰的起點是美國301調查報告，這份報告指責中國“越來越多的地將商業法規納入以實現‘國家安全’或‘網絡安全’為目的的保護性措施”。這句話是什麼意思呢？美國要求中方把能源、通信、交通、金融等行業作為商用領域，而中方卻認為這些領域涉及國家安全，因此中方制定了《網絡安全法》等法律法規，美國人説你不能按自己的意願提出安全要求，你的《網絡安全法》要修改。這些事項，中美之間其實談了很多年，中方始終抱着最大的誠意和耐心，但在攸關國家安全的問題上，我們不可能無原則地退讓。

圖片來自IC Photo

**觀察者網：**最近，中央網信辦就《數據安全管理辦法》、《個人信息出境安全評估辦法》等連續公開徵求意見，外界對此有不同解讀。有的人擔心，對個人信息出境進行評估的目的是為了阻止網民訪問國外網站，限制個人在境外網站註冊信息。您認如何看待這類評論？如何理解這些政策的出台背景？這與國際貿易規則有什麼關係？

**左曉棟：**數據是戰略性基礎資源，保護數據安全已經成為國家網絡安全工作的重要內容。數據有很多分類，保護國家秘密信息等都已有安排，當前主要是缺乏對國家重要數據和公民個人信息的保護制度，導致數據安全問題頻發，嚴重威脅國家安全、公共利益和公民個人權益。雖然《網絡安全法》對數據安全有原則性要求，但還需要制定可操作的細則，其重點就是保護重要數據和個人信息。

什麼是重要數據？涉及到與國家安全、經濟發展以及公共利益密切相關的數據。根據國家有關部門的委託，我本人正在牽頭制定重要數據識別標準。什麼是個人信息？是指能夠識別特定自然人身份或者反映特定自然人活動情況的各種信息。個人信息的這個定義以及具體類型都是非常明確的，已見諸於多部政策法規和標準。

制定個人信息相關文件，是為了規範網絡運營者在收集、保存、使用、共享、轉讓、公開披露等個人信息時的行為，遏制個人信息非法收集、濫用、泄漏等亂象，最大程度地保障個人的合法權益。網上一些大V在完全沒有閲讀文件內容的情況下，曲解個人信息的定義和文件目的，這是極不負責任的。

縱觀全球，我國的個人信息保護工作比較滯後。歐盟在2018年5月25日實施了《通用數據保護條例》（簡稱GDPR），為全球樹立了標杆，被稱為史上最嚴的個人信息保護規則。作為保護個人信息的一個重要環節，GDPR等政策都對數據跨境流動做了嚴格規定，因為大量個人信息傳輸到境外可能會帶來國家基礎資源的流失，如基因數據。此外，如果本國建立了良好的個人信息保護環境，但信息被傳輸到個人信息保護狀況很糟糕的國家或地區，那顯然也無法令人放心，所以歐盟要對個人信息跨境傳輸的目標國進行“充分性認定”。

我國的《個人信息出境安全評估辦法》充分借鑑了GDPR等國際慣例，這個文件不是要限制數據出境，而是要求對數據的出境進行安全評估，評估後能夠出境的當然可以出境，但國家的重要數據資源今後不可能任意向境外流失了。

值得注意的是，數據安全政策已經成為了西方遏制中國的一個工具。2019年5月，西方一些國家聚在一起搞了個《布拉格提案》，要求各國在採購5G技術時“應考慮第三國對供應商影響的總體風險，特別是關於其治理模式，是否缺乏安全合作協議或類似安排（如數據保護方面的充分性認定）”。為什麼説這個提案是針對中國的5G技術呢？中國以前的個人信息保護政策的確很不健全，歐盟等地區和國家的一些人已經説了，中國很難通過其對數據保護的充分性認定。

那麼，我們現在借鑑西方經驗，把政策體系補全行不行？他們依然認為你的保護水平不夠，政策太弱。而在換一種場合的時候，例如期望其產品不受限地進入我們的重要系統時，他們又説你的政策太強，限制他們了。總之你怎麼做，他們都是反對的，我們和西方在數據安全政策上的博弈將是長期性的。

數據流引領技術流、物質流、資金流、人才流，跨境貿易的背後是數據的流動。因此，數據政策是當前國際貿易規則談判的核心問題。焦點有兩個：一是數據本地化存儲，即某些數據原則上只能存儲在境內；二是數據跨境流動，即數據出境要經過安全評估。美國、日本等少數國家反對數據本地化存儲，要求完全取消對數據跨境流動的限制。表面原因是，他們認為這些政策會限制自由貿易，真實目的是為了最大化地攫取全球的數據資源。

現在即使是這些政策也已經“阻擋”不了美國的步伐了。2018年4月，美國通過了《澄清境外數據的合法使用法案》，授權美國執法部門直接訪問境外的數據，試圖實施“長臂管轄”。在此之前，微軟公司與美國執法機構打了四年官司，焦點是美國執法部門能否迫使微軟交出存儲在愛爾蘭服務器上的數據。官司一直打到了美國最高法院，隨着《澄清境外數據的合法使用法案》的出台，一切戛然而止，官司自然撤銷。近年來，美國反覆表達對我國的數據安全政策的關切，多次提出磋商要求，對美國的意圖我們需要保持警惕。

本文系觀察者網獨家稿件，未經授權，不得轉載。